Windows-Sicherheit: Rootkit-Erkennung

Donnerstag, 1. Januar 2009
 / von Leonidas
 

Die Sicherheit des eigenen Computers vor Schadprogrammen aller Art ist ein immer fortwährendes Thema, welches sich in nächster Zeit wohl auch kaum erschöpfen dürfte. Dafür sind die Gewinnaussichten der Trojaner-Mafia zu hoch und deren Risiko immer noch zu klein. Vielmehr dürften mit der weiter steigenden Durchdringung des Internets in alle Lebensbereiche die Angriffsversuche sogar noch eher zunehmen: Mehr Internetteilnehmer und mehr über das Internet ausgetauschte Daten bedeuten automatisch auch ein höheres Interesse von Cyber-Kriminellen.

Nun gibt es schon seit einer Weile diverse Standard-Tips, wie man seinen Computer zumindest notdürftig gegenüber Schadsoftware absichern sollte: Immer die aktuellen Betriebssystem-Updates einspielen, Virenscanner und optional Firewall benutzten (und natürlich aktuell halten), nicht auf Links in Mails klicken sowie keine Software aus zweifelhafter Quelle zu installieren. Allerdings gibt es inzwischen mehr als genügend Bedrohungen im Internet, welche sich auf diese Standard-Tips eingerichtet haben und trotzdem ihre Schadwirkung entfalten können.

Als ein großes Problem in der aktuellen Berichterstattung über neu aufgetauchte Schadprogramme (Viren, Trojaner, etc.) sehen wir zudem an, daß der Internetnutzer in aller Regel mit der markigen Warnmeldung alleingelassen und kein Ausweg aus der entstandenen Situation geboten wird. Denn selbst wenn schon sofort ein Programmupdate eines Antivirenherstellers bzw. ein Sicherheitsupdate eines Softwareherstellers zur Verfügung steht, um einer aktuellen Gefahr zu begegenen: Es gibt bei jeder neuen Schadsoftware immer ein gewisses Zeitfenster, in welchem selber der Computer des vorsichtigsten Internetnutzer gegenüber dieser Gefahr ungeschützt war.

Die große Frage beim Auftauchen neuer Schadsoftware bzw. Sicherheitslücken lautet also eher: Ist man eventuell schon infiziert? Und diese Frage läßt sich unserer Meinung nach von aktualisierter Antivirensoftware nur unzureichend beantworten, gehen einige hochentwickelte Schadprogramme schließlich schon in diese Richtung, sich vor Sicherheitssoftware clever zu verstecken oder/und diese gezielt auszuschalten. Sollte man sich einen dieser "Rootkits" eingefangen haben, ist die Chance vorhanden, daß selbst nach Einspielen neuer Patches bzw. einem Update der Antivirensoftware die Schadsoftware weiterhin munter vor sich hin werkelt.

Hier gilt die schlichte Regel: Wer zuerst auf dem System ist, behält die Kontrolle. Sicherlich ist die wenigste der heutzutage kursierenden Schadsoftware so clever, daß sie sich vor einem aktualisierten Antivirenprogramm verstecken kann. Aber es gibt diese Fälle – und sie werden mehr. Die Antivirenforschung zeigt schon seit einiger Zeit Möglichkeiten auf, sich nahezu perfekt zu verstecken bzw. sogar das eigentliche Benutzer-Betriebssystem in eine virtuellen Maschine auszulagern, womit die Schadsoftware dann außerhalb des Wahrnehmungshorizonts eines Antivirenprogramms laufen würde.

Die Kombination dieser beiden Erkenntnisse – daß man selbst bei bester Absicherung immer zeitweilig ungeschützt ist, sowie daß es eben diese Rootkit- und Tarntechnologien für Schadsoftware gibt – muß einen dann eigentlich zum Schluß führen, daß man mehr tun kann als nur mit Firewall und Antivirenprogramm zu hantieren. Der eigene Rechner sollte wenigstens ab und zu gründlich auf vergrabene Schadsoftware und Rootkits kontrolliert werden – und zwar natürlich unabhängig des normalerweise genutzten Antivirenprogramms. Für diese Aufgabenstellung nutzvolle Programme wollen wir nachfolgend kurz vorstellen.

Anfangen wollen wir dabei erst einmal mit ein paar Programmen, welche nur ein geringes Maß an Kenntnissen durch den Benutzer voraussetzen, um die Sache für einen möglichst breiten Nutzerkreis erreichbar zu halten.

Zuerst zu nennen wäre hier BlackLight von F-Secure. Das Programm ist regulärerweise in der F-Secure Internet Security enthalten, allerdings trotzdem noch einzeln und kostenlos erhältlich. Es scannt auf einfachen Kopfdruck schlicht nach versteckten Prozesses, Dateien und Ordnern und kann diese gegebenfalls auch entfernen.

BlackLight

Weiter geht es mit dem RootAlyzer von Spybot S&D. Das Programm ist derzeit noch Entwicklung, die neueste, derzeit noch kostenlose Beta-Version ist immer hier erhältlich. Das Programm verfügt über einen automatisch startenden QuickScan-Modus sowie über einen erweiteren DeepScan-Modus.

RootAlyzer

Die nächste Möglichkeit stellt der Sophos Anti-Rootkit dar, welcher auf der Webseite des Antivirus-Spezialisten eigentlich nur gegen Registrierung, aber anderenorts auch ohne diese und kostenlos erhältlich ist. Hierbei können laufende Prozesse, Registry-Einträge und alle Dateien (auch getrennt voneinander) gescannt werden, wobei letzteres natürlich seine Zeit benötigt (Anmerkung: leider läuft das Programm weder unter Windows Vista noch unter 64-Bit-Betriebssystemen).

Sophos Anti-Rootkit

Vorstehende Programme ermöglichen einen vernünftigen Test des eigenen Systems, ohne daß man größere Kenntnisse mitzubringen braucht und kann daher auch von Windows-Nutzern auf Einsteiger-Level durchgeführt werden. Wenn etwas entdeckt werden sollte, was nicht sofort selbsterklärend ist, sollte dann allerdings immer ein Nutzer mit tiefergehenden Windows-Kenntnissen konsultiert werden.